身分和存取管理
Identity and Access Management 是資訊安全計畫的關鍵部分,可確保只有經過授權和身分驗證的使用者和元件,才能以您想要的方式存取您的資源。例如,您應定義主體 (即為可在您的帳戶內執行動作的帳戶、使用者、角色和服務),建立與這些主體一致的政策,並實作強勢憑證管理。這些權限管理元素構成身份驗證與授權的核心。
在 AWS 中,權限管理主要由 AWS Identity and Access Management (IAM) 服務支援,它讓您可以控制對 AWS 服務和資源的使用者和程式設計存取。您應該套用精細的政策,將權限分配給使用者、群組、角色或資源。您還可以要求使用強式密碼,例如要求複雜性等級、避免重複使用以及強制執行多重因素認證 (MFA)。您可以將聯合身份驗證與現有目錄服務一起使用。對於要求系統有權存取 AWS 的工作負載,IAM 可以透過角色、執行個體描述檔、聯合身份和臨時登入資料來實現安全存取。
下列問題著重於安全方面的這些考量。
| SEC 2:如何管理人員和機器的身分? |
|---|
|
處理操作安全的 AWS 工作負載時,您需要管理兩種身分類型。了解您需要管理和授予存取權的身分類型,有助於確保正確的身分在適當的條件下存取正確的資源。 人員身分:您的管理員、開發人員、操作員和最終使用者需要身分才能存取您的 AWS 環境和應用程式。這些人是組織的成員,或與您協作的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的使用者。 機器身分:您的服務應用程式、操作工具和工作負載需要身分,才能向 AWS 服務發出請求,例如讀取資料。這些身分包括在 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。您也可以為需要存取權的外部人員管理機器身分。此外,您可能也有在 AWS 外部,需要存取 AWS 環境的機器。 |
| SEC 3:如何管理人員和機器的許可? |
|---|
| 管理許可,以控制對需要存取 AWS 和工作負載的人員和機器身分的存取。許可控制誰可以在何種條件下存取哪些內容。 |
登入資料不得在任何使用者或系統之間共用。應使用最低權限的方法以及最佳實務 (包括密碼要求和強制執行 MFA) 來授予使用者存取權限。包括對 AWS 服務的 API 呼叫在內的程式設計存取應使用臨時和有限權限的登入資料 (例如由 AWS Security Token Service 發出的登入資料) 執行。
AWS 提供了可以幫助您進行身份和存取管理的資源。為了幫助您學習最佳實務,請探索我們的實作實驗室,
了解管理登入資料和身份驗證
